Sviluppo software e assistenza > GoJack Web - Wap
E fu cosi che arrivò anche la prima versione Web/Wap
antonino.spampinato:
Se ricordo bene, pure littleqwerty aveva problemi su porte non standard. http://forum.gojack.altervista.org/index.php?topic=104.0
@rondey grazie, più uno per te.
Cmq. il server richiede di mantenere il cookie nel tuo browser.
Con uno sniffer vedi cosa invia e risponde il server.
loginset=password codificata in base 64
rondey:
Grazie ;) A proposito di cookie, quella che viene inviata dal server è veramente la password dell'utente? :o Perché proprio ieri studiando "reti di calcolatori" si parlava di cookie, e lì diceva che invece di inviare la password utente si preferisce generare un numero random per identificare l'utente. Nel server viene memorizzato ovviamente tale numero.
In questo modo se qualcuno sniffa il cookie anziché trovarsi la password, si ritrova una sequenza numerica.
Zummy:
Quindi, che il problema sia legato alla porta?
In tal caso, non lo posso usare da web/wap?
antonino.spampinato:
@rondey: il biscottino viene creato dal server e salvato dal client.
In genere si crea una sessione (un' altro cookie) per identificare l'utente attuale per un server frequentato da più di un utente, si confronta il suo hash invece del originale, hash user/password nel database/o file testo.(da un form html verso il server è in chiaro,dal server al database viene convertita a hash). Però
Poichè ad es md5 (hash) crea una stringa non convertibile, si è più sicuri.
ps. Mi sembra doveroso specificarlo, un hash md5 potrebbe essere uguale ad un inserimento di diversi input. Ma è una possibilità proprio remota.
@zummy se già lo usi per l'android senza password, se magari condividi con noi cosa ti dice lo sniffer.
Se vedi il cookie: loginset=;
PHPSESSID=32 caratteri;, vuol dire che i cookie di apache funzionano.
gojackweb.php?a=login senza essere loggato.
però cmq, credo che sia la porta ha darti problemi.
rondey:
Bella spiegazione, ma se io rubo il cookie di qualcuno praticamente è come se avessi la sua password in questo modo. Invece il numero casuale, proprio perché è casuale e rigenerato ad ogni creazione del cookie, dovrebbe rendere la vita più complicata perché l'hacker deve ogni volta aspettare che la vittima si colleghi e si faccia generare il nuovo codice cookie.
Il cookie con numero casuale che ottiene l'hacker quando scadrà, non varrà più niente. Il cookie con user/password in codifica md5 varrà fin quando non viene cambiata la password(cosa che avviene raramente).
Navigazione
[0] Indice dei post
Vai alla versione completa